<第2回>セミナーリフレクション『「認証維持できれば良いという時代は終わった! 新時代の情報セキュリティマネジメントシステムを考える』
- Home
- セキュリティ情報一覧
- <第2回>セミナーリフレクション『「認証維持できれば良いという時代は終わった! 新時代の情報セキュリティマネジメントシステムを考える』
<第2回>セミナーリフレクション『「認証維持できれば良いという時代は終わった! 新時代の情報セキュリティマネジメントシステムを考える』
前回の続きです。第1回から読む
1.セミナーを開催しました
改めて、セミナーでお話したテーマとしては、
- 個人情報保護法とプライバシー
- JISQ27001:2023の改訂ポイント
- ISO/IEC27002:2022の改訂ポイント
- JISQ150001:2023の改訂ポイント
- サイバーセキュリティ概念
- インシデントからの学習
でした。前回のコラムでは1~3まで書きました。今回は4~6について書きます。
2.JISQ15001:2023の改訂ポイント
本来であれば2022年4月1日の改正個人情報保護法の施行前にJISQ15001:2022が発行されていればよかったのですが規格改訂が間に合わず、同日にJIPDECより「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」(以下、審査指針)が公表され、審査指針で改正法対応も含めた審査が行われることになりました(その後、4月28日に改訂)。
JISQ15001:2023が発行されたことに伴い、審査指針も年内には改訂されるようで、審査指針による審査実務への適用は来年になるでしょう。少なくとも審査指針が改訂されてから半年程度は猶予期間が置かれるのではないかと思います。詳しくは審査指針の改訂版と合わせて公表されるはずです。ただ、改正法対応部分は審査指針で更新審査をパスされていれば、実務面への影響はほとんどないでしょう。とはいえ個人情報保護規程の全体構成を見直す改訂は必要になります。
規程の見直しポイントは、MS(マネジメントシステム)部分とP(個人情報保護)部分を明確に分ける点でしょうか。MS部分は、いわゆるISOの共通文書化と親和性をとれるように改訂されていますので、ISMS等、他のISO規格を運用している組織には規程の統一化をしてもよいでしょう。既存のISO共通文書にJISQ15001:2023に固有の箇条を追加すれば完成です。
P部分は原則として個人情報保護法の義務規定に対応した箇条構成なので、法令対応以外のPマークに固有の上乗せ部分を整理すれば済みます。P部分の作り方としては、個人情報保護法の第17条~第46条あたりの内容を簡略化して記載し、上乗せ部分を追記すれば完成です。まあ従来からの規程類を整理した方が早い、あるいは新しい規程の雛形をもらった方が早いという組織もあるかと思いますので、一番効率的な対応でよろしいかと思います。
ただ文書審査を考えると、改訂版の審査指針の目次構成に沿った規程にした方がよいでしょう。従来からの規程を法改正の度に継ぎ足しするような改訂をしていると、審査員から読みづらいと言われることがあります(本来、それを読み解くのが審査員の仕事のはずですが…)。
3.サイバーセキュリティ概念について
さてお話はISMSの規格改訂に戻ります。今回の規格改訂は、順番から言えば2022年2月にISO/IEC27002:2022(JIS化作業中)が先に発行されています。この時点ではJISQ27001の附属書Aを改訂するだけだから規格改訂とまではというお話もあったようですが、共通文書のところが毎年のようにプチ改正されており、附属書Aを変えるとプチ改正の上限を超えちゃうので規格改訂にしようとなったようです。ですから本文のMS部分は大きな変更はありません(「調和させる構造」ってやつです)。
問題は附属書Aの素になるISO/IEC27002:2022です。こちらは前回のコラムで、下記のようにまとめておきました。
- タイトルにサイバーセキュリティとプライバシー保護が加わった
- 管理策が4つにカテゴライズされた
- 114個の管理策のうち複数の管理策が24個に整理され、58個が箇条番号や管理策名称の変更を含めて更新され、11個の管理策が加わり、93個になりました
- 管理策と管理目的が一対となりました:以前は35個の管理目的に114個の管理策
- 各管理策に属性情報が追加されました:ここが今回のセミナーポイント
4つのカテゴライズとは、組織的・人的・物理的・技術的の各管理策に93個の管理策がまとめられました。個人情報保護法の安全管理措置と同じような区分ですからわかりやすそうに見えます。しかし、そんなに簡単な話ではありません。ISO規格は特定の国の法令に依拠しない原則がありますので、個人情報保護法のガイドラインと比較しても相関関係を見出すのは難しいのでやめた方がいいです。
改訂により従来の114個の管理策は整理統合され11個の管理策が新たに加わり93個となりました。ですから基本的には11個の管理策を適用範囲とするか否かくらいのレベル感です。ただ審査ではギャップ分析といって、旧管理策と新管理策をきちんと読み比べて対応しているのかといったところがチェックされています。
従来は114個の管理策は35個の管理目的に紐づいていましたが、今回は各管理策に目的が記載されており、管理目的という概念はなくなりました。附属書Aにも管理目的の記載はありません。ですから、厳密に審査でギャップ分析をチェックするなら、ISO/IEC27002:2022記載の目的内容まで見比べていますか? となるべきです。実際はそこまで細かくチェックはされていないようですが…。
ちなみにISO/IEC27002:2022の管理策の構成は次のようになっています。
- 箇条番号と管理策名
- 属性情報(新たに追加)
- 管理策
- 目的
- 手引
- その他の情報
この属性情報の中に「サイバーセキュリティ概念」というものがあります。これは、規格のタイトルが「情報セキュリティ、サイバーセキュリティ及びプライバシー保護―情報セキュリティマネジメントシステムー要求事項」に変わったことと関連しています。
ISMSはオンプレミスを前提とした規格として要求事項が定められていました。しかし、コロナ禍以降で急速に進んだテレワークやクラウドサービスの利用で、情報資産が組織の内部にあるという前提が崩れ、組織の外部に持ち出し、外部からアクセスするという勤務形態が一般化しました。「5.23 クラウドサービス利用における情報セキュリティ」が追加されたのがいい例です。
サイバーセキュリティ概念というのは、米国国立標準技術研究所(NIST)が公開している文書で正式名称は「重要インフラにおけるサイバーセキュリティを向上させるためのフレームワーク(Framework for Improving Critical Infrastructure Cybersecurity)」といいます。CSFは、組織におけるサイバーセキュリティリスク管理を向上させるためのガイドラインとして利用されています。
IPAのホームページで日本語訳が出ています。
4.サイバーセキュリティフレームワークの5つの機能
フレームワークはサイバーセキュリティリスクを把握・管理し、内外の利害関係者に向けて表現するための共通言語として使えます。そのコアとなる部分が5つの機能になっており、それが管理策の属性情報として、どの機能にあたるかが記載されているのです。
5つの機能は、下記の通りです。
- 識別:サイバーセキュリティの対象となる情報資産を把握する
- 防御:情報資産をサイバー攻撃リスクから守る対策を講じる
- 検知:不正アクセス等の振る舞いや異常を確実に検知する
- 対応:不正アクセス等の原因を特定し、速やかに対処する
- 復旧:必要に応じてバックアップなど初期化の対応をする
識別と防御はサイバーリスクを未然に防ぐための事前防御(入口対策)機能です。まずは守るべき情報資産を特定します。ここで情報資産の特定漏れがあると防御以降の対策が機能しませんので一番大切なところです。
防御は不正アクセス等を未然に防ぐ管理策本来の機能といえます。オンプレ前提の管理策ではインターネットの世界(外部ネットワーク)とイントラネットの世界(内部ネットワーク)には境界があり、外側は危険地帯、内側は安全地帯という「境界防御型」の発想でした。「鬼は外、福は内」的な?
外から内に入ってくる通信は原則としてブロックして、内から外に向かう通信は原則としてパスするというファイアーウォールなどでの防御です。この発想の弱点は、内部ネットワークは安心・安全なので、あまり防御策が講じられていないことです。これはコロナ禍で普及したテレワークによるVPN接続のリスクを新たに生じさせました。なぜなら信頼すべき内部の人が危険地帯の外から内へアクセスするのですから、アカウント情報を盗まれたりパスワードを解析できたりすると容易に侵入を許してしまうからです(正規ユーザーなのかなりすましの悪意ある攻撃者なのかを識別できる管理策が必要)。
またVPN機器の脆弱性を突いた内部ネットワークへの侵入を許した事件も起きており、まさにギャップ分析をする上では、こうしたリスクも踏まえて管理策のレビューをしているかどうかが審査されるはずなのですが…。どうも、そのようなところまで突っ込んだ審査は行われていないようなのです。サイバーセキュリティの審査ではないので、認証取得できているからと安心してはいけないのです。
しかしながら、防御策を講じるといっても経営資源には限界がありますから鉄壁の防御策を講じられる組織はごくまれでしょう。またそのように防御を固めすぎると(機密性の維持を強化)、仕事がやりにくい・効率が悪くなる(可用性の維持が困難)というシステム部門と業務部門とのコンフリクトの原因となります。ここのバランスが難しいところです。
そのため不正アクセスされたことを前提とした事後対策の充実が必要となっているのです。この機能を担うのが、検知・対応・復旧の管理策です。たとえばなりすましのログインやマルウェアに感染したPC端末で異常な振る舞いを検知できるような管理策が必要で、検知のみならずそれを排除する対応の管理策がないと意味がありません(封じ込め対策)。また封じ込めができなかったとしても外部への情報の持ち出しを防ぐ対策も必要です(出口対策:「8.12 データ漏えい防止(新管理策)」⇒「8.15 ログ取得」⇒「8.16 監視活動」(新管理策)⇒「5.25 情報セキュリティ事象の評価及び決定」⇒「5.28 証拠収集」⇒「5.26 情報セキュリティインシデント対応」などの一体的な管理策運用)。検知が遅く被害を防ぐ対応が間に合わないと「5.29 事業の中断・阻害時の情報セキュリティ⇒5.30事業継続のためのICTの備え」や「5.37 操作手順書」⇒「8.13 情報のバックアップ」(復旧機能)が必要となります。
ランサムウェア感染によりサーバが暗号化されましたという事件は、この5つの機能のうち、対応までの管理策が機能不全でしたということを利害関係者に公表せざるを得ない状況ということです。ちなみに復旧の機能にあたる管理策は93個中4個しかありません(ほぼ管理策の機能不全状態)。
5.インシデントからの学習
JISQ27001:2023附属書Aには「5.27 情報セキュリティインシデントからの学習」という管理策があります。私たちは経験や失敗から多くのことを学んで再発防止に生かしています。報道等で知りえた個人情報の漏洩事件等をよくよく調べてみると、基本的なルールが順守されていないことに起因するものが大半です。大がかりなセキュリティ商材を導入しなければ防げないことはまれで、単にVPN機器のソフトウェアの脆弱性情報にいち早く気づき、更新しておけば不正アクセスは防げたようなケースが大半です。このプロセスが、まさに「5.7 脅威インテリジェンス」です。脅威情報を収集・分析・活用する仕組みがあれば、9割型のインシデントは防げるといわれています。
サーバにある顧客情報をUSBメモリーにコピーして持ち出して名簿屋に売るという事件が10年間も見過ごされてきたのも驚くべきことですが、個人情報保護法の改正で個人データの提供時には記録作成と確認義務が法定されたのは2015年改正(施行は2017年5月30日)です。これが俗にいう「名簿屋対策」であったわけですが、「個人情報保護法という法律では個人情報を保護」してはくれないのです。なぜならそのような目的の法律ではないからです。あくまでも事業者が個人情報を適切に取扱うことで、漏洩等を未然に防げるはずだというのが法律の趣旨なのです(事業者の責任重大)。
当然にPマークを取得しているからサイバー攻撃のリスクを低減できるというロジックは成り立ちません。なんと、JIPDECさんの審査員も漏洩事件の当事者になっています(参考URL)。こちらも契約や規程に違反してファイルサーバー(NAS:Network Attached Storage)に保存していたものが適切なセキュリティ対策がなされておらず、インターネット上で閲覧できる状態となっていたとのことです。またランサムウェアに感染し暗号化されたファイルもあったようです。個人情報保護委員会への報告対象になりますね。皆さんも気をつけましょう。もちろん弊社も。
以上でリフレクションは終わりです。これらを踏まえて、「じゃあ、情報セキュリティ、どうすればいいの?」って疑問がわいてきたかと思います。その辺りは年明けから徐々に書いていきます。
